원격 데스크톱 서버에서 데이터를 훔치는 데 사용되는 RDStealer
레드클라우드라는 사이버 스파이 캠페인은 원격 데스크톱 연결을 통해 공유된 드라이브에서 데이터를 훔치기 위해 RDStealer라는 멀웨어를 사용하고 있습니다. 이 캠페인은 2022년부터 동아시아의 시스템을 표적으로 삼고 있으며, 중국의 국가적 후원을 받고 있는 것으로 추정됩니다.
RDStealer는 키로거, 지속성 설정기, 데이터 도난 및 유출 준비 모듈, 클립보드 콘텐츠 캡처 도구, 암호화/복호화 기능, 로깅 및 파일 조작 유틸리티를 제어하는 모듈식 악성코드입니다.
멀웨어는 원격 컴퓨터가 서버에 연결되어 있고 클라이언트 드라이브 매핑(CDM)이 활성화되어 있는 것을 감지하면 컴퓨터의 내용을 스캔하고 파일을 검색합니다. 또한 CDM 공격 벡터 외에도 감염된 웹 광고, 악성 이메일 첨부 파일, 사회 공학 전술을 통해 확산될 수 있습니다. RDStealer의 배후에 있는 조직은 매우 숙련된 것으로 보이기 때문에 앞으로 새로운 공격 벡터 또는 더 우수한 버전의 RDStealer가 등장할 가능성이 높습니다.
활성화되면 RDStealer는 \tsclient 네트워크 공유에서 C-H 드라이브의 가용성을 확인합니다. 드라이브가 발견되면 C2 서버에 알리고 연결된 RDP 클라이언트에서 데이터 유출을 시작합니다. 이 악성 코드는 특히 KeePass 암호 데이터베이스, SSH 개인 키, Bitvise SSH 클라이언트, MobaXterm 및 mRemoteNG 연결과 같이 측면 이동에 사용될 수 있는 자격 증명을 표적으로 삼습니다.
이 악성 코드는 수동 및 능동 DLL 사이드로딩 결함을 사용하여 탐지되지 않고 침해된 시스템에서 실행되며, Windows 관리 계측(WMI)을 활성화 트리거로 사용합니다.
그런 다음 RDStealer는 %WinDir%\System32, %WinDir%\System32\wbem, %WinDir%\security\database, %PROGRAM_FILES%\f-secure\psb\diagnostics, %PROGRAM_FILES_x86%\dell\commandupdate, 또는 %PROGRAM_FILES%\dell\md 스토리지 소프트웨어\md 구성 유틸리티에 폴더에 저장됩니다.
RDStealer 실행의 마지막 단계는 두 개의 DLL 파일, 즉 Logutil 백도어("bithostw.dll")와 해당 로더("ncobjapi.dll")를 활성화하는 것입니다.
Logutil 백도어는 위협 행위자가 감염된 디바이스에서 원격으로 명령을 실행하고 파일을 조작할 수 있는 맞춤형 Go 기반 백도어입니다. Logutil 백도어는 C2와 직접 통신하여 실행할 명령을 얻습니다.
이 글의 출처는 BleepingComputer의 기사입니다.